أكدت GitHub، خدمة استضافة قائمة على السحابة تُستخدم من قبل مطوري البرمجيات لتخزين وإدارة التعليمات البرمجية، وقوع حادثة أمنية كبرى تتعلق بأحد الموظفين. وقد جاء في منشور على منصة X لوسائل التواصل الاجتماعي من حساب GitHub بتاريخ 20 مايو أن “الادعاءات الحالية للمهاجم حول 3,800 مستودع تتماشى بشكل عام مع تحقيقنا حتى الآن”. الخبر الجيد، إذا كان بالإمكان اعتباره كذلك، هو أن التحقيق يظهر أن قراصنة TeamPCP قاموا فقط بتهريب المستودعات الداخلية لـ GitHub. لكن الخبر السيء، مع ذلك، هو أن TeamPCP يعتقد أنه الآن لديه وصول إلى الشيفرة المصدرية لـ GitHub.
مجموعة قراصنة TeamPCP وضعت بيانات GitHub المسروقة للبيع
اختراق GitHub، التي استحوذت عليها Microsoft مقابل 7.5 مليار دولار في عام 2018، هو قضية كبيرة بغض النظر عن الطريقة التي تنظر بها إليها. تُستخدم من قبل 4 ملايين منظمة و180 مليون مطور، تمتلك المنصة السحابية أكثر من 400 مليون مستودع للشفرة في المجموع. لذلك، قد تعتقد أن خرقًا يتضمن فقط 3,800 منها ليس بالأمر الذي يستحق الأخبار. لكن السياق مهم، وفي هذه الحالة، يأتي هذا السياق بشكل مزدوج: يظهر أن المستودعات هي مستودعات داخلية لـ GitHub، وأن الخرق نفسه تم تمكينه عن غير قصد بواسطة موظف في GitHub.
تم كشفه فريق الأمان في GitHub في 19 مايو، مما أثار تحقيقًا فوريًا. قالت GitHub حينها إنه لا يوجد “أي دليل على تأثير على معلومات العملاء المخزنة خارج المستودعات الداخلية لـ GitHub”، لكنها كانت في حالة تأهب وتراقب عن كثب لأي نشاط تبعي.
حاليًا، لا تتوفر معلومات إضافية بشأن ما حدث بعد ذلك، بما في ذلك ما يتعلق بخرق جهاز موظف في GitHub بعد تثبيتهم ملحق VS Code خبيث. هذا ليس غير معتاد خلال فترة التحقيق. قالت GitHub إنها ستنشر تقريرًا كاملاً بمجرد انتهاء التحقيق.
قال متحدث باسم GitHub: “تحركنا بسرعة لتقليل المخاطر”، وقد قال قال: “تم تدوير الأسرار الحرجة بالأمس وطوال الليل مع إعطاء الأولوية لأعلى الاعتماديات تأثيرًا أولًا”. وقد زعم عضو TeamPCP الملقب بـ “box turtle” أنه “كان لدى GitHub علم بذلك لعدة ساعات، لقد تأخروا في إخباركم ولن يكونوا صادقين في المستقبل” فيما يتعلق بالخرق.
وقد نشرت TeamPCP إشعارًا للبيع على منتدى قراصنة مشهور قالت فيه إنها تريد على الأقل 50,000 دولار مقابل البيانات المسروقة، بما في ذلك “الشيفرة المصدرية لـ GitHub والمنظمات الداخلية”، مضيفة أنه “لن يتم قبول أي عروض منخفضة”. كما جاء في ذلك المنشور أن TeamPCP لا تحتجز GitHub من أجل الفدية، ولكنها تبحث فقط عن بيع إلى مشترٍ واحد بعد ذلك سيتم تمزيق البيانات. وحذرت مجموعة القراصنة، مع ذلك، من أنه “إذا لم يتم العثور على مشترٍ، فسوف نقوم بتسريبها مجانًا”.
يجب على مستخدمي GitHub أن يظلوا في حالة تأهب لأي تهديدات تابعة تستغل الخوف وعدم اليقين والشك حول خرق TeamPCP في محاولة للوصول إلى الحسابات من خلال هجمات التصيد المستهدفة. تقول GitHub إن المستخدمين يجب عليهم تمكين المصادقة الثنائية وإضافة مفتاح مرور كإجراء احتياطي لحماية الحساب.
